Testez-nous

Netflow — collecter et afficher

September 23, 2016
Télécom
Netflow — collecter et afficher
Tout système DPI analyse le trafic et génère des rapports basés sur des paramètres spécifiés (protocole, application, abonné, emplacement, etc.), mais ces rapports doivent être téléchargés et visualisés. NetFlow, un protocole réseau conçu pour comptabiliser le trafic réseau et développé par Cisco Systems, est utilisé à cette fin.

Le protocole est une norme industrielle et est pris en charge non seulement par les appareils Cisco, mais aussi par de nombreux autres. Cela permet de l’utiliser pour collecter des statistiques à partir de la plateforme DPI.

À propos de NetFlow

NetFlow vous permet d’analyser le trafic réseau au niveau de la session, en enregistrant chaque transaction TCP/IP, ce qui fournit des statistiques assez détaillées. Il existe actuellement deux versions de NetFlow : 5 et 9. Une norme ouverte appelée IPFIX a été développée sur la base de la version 9. Cette version prend également en charge des champs supplémentaires tels que les en-têtes IPv6, les étiquettes de flux MPLS et les adresses de passerelle BGP.

Les composants suivants sont nécessaires pour utiliser le protocole NetFlow :

  • Capteur : collecte des statistiques sur le trafic qui le traverse. Il s’agit généralement d’un commutateur ou d’un routeur L3, mais des capteurs autonomes qui reçoivent des données en mettant en miroir le port du commutateur peuvent également être utilisés.
  • Collecteur : collecte les données reçues du capteur et les stocke.
  • Analyseur : analyse les données collectées par le collecteur et génère des rapports lisibles par l’homme (souvent sous forme de graphiques).

Explication du Netflow

Le capteur extrait des ensembles de paquets circulant dans la même direction à partir des flux de trafic. Les flux terminés ou en cours sont envoyés au collecteur à une fréquence configurée.

Les informations collectées se présentent sous la forme d’enregistrements contenant les paramètres suivants (pour la version 5) :

  • numéro de version du protocole
  • numéro d’enregistrement
  • interface réseau entrante et sortante
  • heure de début et de fin du flux
  • nombre d’octets et de paquets dans le flux
  • adresse source et destination
  • port source et destination
  • numéro de protocole IP
  • valeur du type de service
  • pour les connexions TCP – tous les indicateurs observés pendant la connexion
  • adresse de la passerelle
  • masques de sous-réseau source et destination.

Les données provenant du collecteur sont envoyées à l’analyseur (système de traitement et de visualisation), qui doit comprendre le format du fichier entrant provenant du collecteur et afficher les informations qu’il contient sous forme de rapports et de graphiques.

NetFlow pour DPI

Il suffit d’exporter les statistiques sur les protocoles et les directions à partir des systèmes DPI au format NetFlow 5, car c’est le format le plus courant et il est pris en charge par la plupart des outils gratuits et commerciaux de collecte et d’analyse des statistiques.

Le transfert d’informations DPI au format NetFlow 5 présente un certain nombre de caractéristiques :

  • Le champ dstport est utilisé pour transférer des informations sur le protocole utilisé (numéro de port). Dans la mesure du possible, le numéro de port attribué au protocole par l’association IANA est utilisé, mais pour les protocoles avec un numéro libre (torrents, Skype, etc.), un numéro spécial est attribué dans la plage supérieure (49152-65534) réservée par l’IANA pour les ports privés. Si le protocole ne peut être déterminé, le numéro de port 65535 lui est attribué.
  • Les statistiques sur les protocoles sont transmises sous forme agrégée, c’est-à-dire que le DPI accumule les statistiques sur le protocole, en combinant les informations provenant de différentes sessions, puis les transmet au collecteur à un intervalle spécifié. Cela réduit considérablement la quantité d’informations transmises.
  • Les informations sur les destinations sont transmises dans le champ dst_as (numéro de système autonome).
  • Les statistiques sur les destinations sont transmises sous forme agrégée, c’est-à-dire que le DPI accumule les statistiques sur la destination (numéro AS), en combinant les informations provenant de différentes sessions, puis les transmet au collecteur à un intervalle spécifié.

L’un des moyens les plus courants pour obtenir et analyser les informations provenant de la plateforme DPI consiste à combiner :

  1. un collecteur démon qui écoute le port, collecte les données et les enregistre dans des fichiers ;
  2. un dump qui lit et affiche les données nfcapd collectées ;
  3. un visualiseur, qui est une interface graphique pour les données nfdump.

nfdump

La configuration DPI se résume à spécifier les paramètres suivants :

  1. Activation du système de collecte et d’exportation des statistiques (par protocoles, par directions, pour la facturation, statistiques complètes par sessions).
  2. L’interface réseau par laquelle le netflow avec statistiques sera envoyé.
  3. Fréquence d’exportation des données.
  4. L’adresse IP et le numéro de port du collecteur (ou de plusieurs collecteurs pour différents types de données).

Pour pouvoir créer des rapports sur le trafic du site web, sur les abonnés au système avec attribution dynamique d’adresses, et pour relier les données de session et de volume aux métadonnées transmises au cours d’une session, vous devez utiliser le protocole IPFIX (une évolution du protocole NetFlow version 9). Tout collecteur IPFIX universel qui comprend les modèles ou l’utilitaire IPFIX Receiver convient pour collecter des informations au format IPFIX.

Pour installer NfSen, vous aurez besoin d’un ordinateur équipé de CentOS 6 ou d’une version supérieure. L’espace disque requis est compris entre 250 Mo et 1,5 Go par jour de stockage, selon les paramètres. La quantité de RAM requise est de 1 Go. Cependant, il n’est pas recommandé d’installer NfSen sur un serveur équipé d’une plateforme DPI : la génération de rapports sollicite fortement le processeur, ce qui peut nuire aux performances de la plateforme DPI. L’installation de NfSen implique l’installation du serveur web Apache, et sa configuration se résume à activer le démarrage automatique et à ouvrir les ports sur le pare-feu.

Après avoir accumulé des données pendant au moins une journée, NfSen vous permettra de créer des graphiques basés sur les protocoles, le volume de trafic et d’autres informations obtenues à partir du système DPI.
nfsen combined

En plus des graphiques, NfSen peut être utilisé pour générer des rapports pour toutes les périodes, tous les protocoles et toutes les directions.

nfsen dir report

L’analyse du trafic est la première étape vers l’optimisation et l’amélioration de la qualité des services fournis par les opérateurs de télécommunications. Les rapports et les graphiques montrent la consommation réelle de bande passante, les routes les plus fréquentées et les consommateurs les plus « gourmands ». Ces informations vous permettent de définir des priorités en connaissance de cause, d’identifier à l’avance l’application ou l’utilisateur qui consomme le plus de bande passante, d’observer les tendances et de protéger le réseau contre la surcharge en limitant la vitesse.

Vote:
5 sur 5
Note moyenne : 5
Évalué par: 2
Les étapes d'une cyberattaque Attaque DDoS provenant d'appareils IoT